最新版本的Xenomorph Android恶意软件瞄准400家银行资金系统

新版本的Xenomorph Android恶意软件包括一个新的自动转账系统框架，目标是400家银行的资金系统。

Xenomorph Android恶意软件的作者Hadoken安全组继续改进他们的恶意代码。

2022 年 2 月，ThreatFabric 的研究人员首次发现了Xenomorph恶意软件，该恶意软件通过官方Google Play商店分发，安装量超过50,000。

银行木马被用来攻击56家欧洲银行，并从其客户的设备中窃取敏感信息。代码分析显示存在未实现的功能和大量日志记录，这种情况表明此威胁正在积极开发中。

Xenomorph与Alien银行木马有相似之处，但它的功能与Alien的木马截然不同。 

专家们注意到，在2022年期间不断改进，并在小型活动中分发。运营商首先通过GymDrop dropper操作分发 Android 恶意软件，后来恶意代码也通过Zombinder操作分发。

专家警告说，最近发现的一种新变种，被追踪为Xenomorph.C，已得到显着改进。

新变体支持新的自动转账系统(ATS) 框架，可以针对主要来自西班牙、土耳其、波兰、美国、澳大利亚、加拿大、意大利、葡萄牙、法国、德国、阿联酋和印度的400多家银行和金融机构

“这个新版本的恶意软件为已经功能丰富的 Android Banker 添加了许多新功能，最引人注目的是引入了一个非常广泛的 运行时引擎，该引擎由辅助功能服务提供支持，参与者使用它来实现完整的 ATS 框架。有了这些新功能，Xenomorph 现在能够完全自动化整个欺诈链，从感染到资金渗漏，使其成为  流通中最先进、最危险的Android 恶意软件木马之一。”Threat Fabric发布的报告称：“此外，ThreatFabric识别的样本具有由400多家银行和金融机构组成的目标列表的配置，其中包括几个加密货币钱包，与之前的变体相比增加了6倍以上，包括来自各大洲的金融机构。”

ATS 框架允许运营商自动泄露凭据、检查账户余额、进行交易并从目标应用程序中窃取资金，而无需运营商的人工干预。

研究人员解释说，脚本以JSON格式接收，然后进行处理，并转换为要由设备上的引擎执行的操作列表。

“Xenomorph使用的引擎在竞争中脱颖而出，这要归功于广泛的可编程可能动作选择，并且可以包含在ATS脚本中，此外还有一个允许条件执行和动作优先级排序的系统。”。

ATS框架还能够从第三方应用程序中提取MFA代码，例如Google的身份验证器应用程序。

专家们还注意到，作者建立了一个网站来宣传这种Android恶意软件即服务，这种情况证实了他们进入MaaS领域的意图。

最新的Xenomorph最新版本还支持Cookie窃取器功能。

“会话Cookie允许用户在他们的浏览器上保持打开的会话，而无需反复重新输入他们的凭据。拥有有效会话cookie的恶意行为者可以有效访问受害者登录的网络会话。”报告中还说：“Xenomorph，就像前面提到的其他恶意软件家族一样，启动一个启用了JavaScript接口的浏览器。该恶意软件使用该浏览器向受害者显示目标页面，目的是诱骗用户登录Xenomorph试图提取其cookie的服务。”

Xenomorph恶意软件专注于使用覆盖攻击窃取PII，例如用户名和密码。

该恶意软件还针对流行的加密货币钱包，包括Binance、BitPay、Coinbase、Gemini和KuCoin。

“Xenomorph v3能够执行整个欺诈链，从在Zombinder的帮助下感染，到使用ATS自动传输，通过使用键盘记录和覆盖攻击的 PII渗漏。此外，这个恶意软件家族背后的威胁演员已经开始积极宣传他们的产品，表明他们有扩大这个恶意软件影响范围的明确意图。” 总结来说：“ThreatFabric预计Xenomorph的数量会增加，并有可能再次通过Google Play商店中的滴管进行分发。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4867.html